勒索攻击频传,趋势科技今日发表最新研究报告,深入分析背后错综复杂的网络犯罪供应链,并提出过去两年需求急速成长,许多网络犯罪市场甚至有自己的“存取服务”(Access-as-a-Service,AaaS)交易专区。
这项研究针对多个英语与俄语为主的网络犯罪论坛,分析自 2021 年 1 月至 8 月间 900 多笔上架的存取中介服务。若以产业区分,教育是最常出现的主流市场,占所有服务广告的 36%,制造业与专业服务以 11% 并居第二,比例不到第一名的三分之一。
而报告并指出存取中介的三种主要类型。第一是随机型卖家,只想快速获利,不会花太多时间取得存取权。第二是专业存取中介,通常是经验丰富、技术娴熟的骇客,能提供各种公司的存取权,受到小型勒索病毒集团和组织青睐。
第三则是线上商店,提供 RDP 与 VPN 凭证。这类专营商店只提供单一设备存取,非涵盖整个网络或组织,然而提供简便、自动化的交易模式,让技术能力有限的网络犯罪者也能购买存取权,甚至能以位置、互联网服务供应商(ISP)、操作系统、通讯埠号、管理员权限或公司名称搜寻。
趋势科技指出,多数存取中介的商品仅为一组登入凭证,来源可能包含外泄的密码或密码杂凑的破解;遭入侵的僵尸电脑;遭恶意利用的 VPN 闸道、网站服务器等资安漏洞;一次性随机攻击等。
同时,这类服务定价照存取类型(单一设备或整体网络/企业)、公司目标年度营收、买家额外需执行的工作等而不同。虽然取得 RDP 存取的价格最低仅 10 美元,但单一企业管理凭证平均价格为 8,500 美元,有时甚至高达 10万美元。
趋势科技资深威胁研究员 David Sancho 表示,媒体与企业资安部门一直都只关注勒索病毒和恶意程式,但真正该优先处理的,是设法减缓初始存取中介(initial access broker)的攻击活动。资安事件应变团队通常必须调查两起以上范围重叠的攻击链,才能找出勒索病毒攻击的源头,事件应变流程更冗长复杂。透过监测存取中介活动,团队能防患未然,避免企业网络存取权限遭偷窃、变卖,从源头阻断勒索病毒攻击者的供应来源。
(首图来源:趋势科技)
